第七章 軟件限制安全_第1頁
第七章 軟件限制安全_第2頁
第七章 軟件限制安全_第3頁
第七章 軟件限制安全_第4頁
第七章 軟件限制安全_第5頁
已閱讀5頁,還剩14頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

第七章軟件限制安全本章描述:計(jì)算機(jī)的環(huán)境配置包括硬件配置和軟件配置,目前90%以上的用戶常見故障是由軟件故障引起的,故對用戶使用軟件的一些限制就尤為重要。本項(xiàng)目主要通過設(shè)置軟件限制策略來限制應(yīng)用程序的使用,從而保證系統(tǒng)的安全。7.1軟件限制安全標(biāo)準(zhǔn)

本章通過介紹軟件限制策略,結(jié)合四個(gè)限制規(guī)則進(jìn)行了相應(yīng)的軟件限制,相應(yīng)的標(biāo)準(zhǔn)有:1、會(huì)啟用軟件限制策略。2、會(huì)創(chuàng)建針對某一軟件的限制策略。7.2軟件限制策略概述

在系統(tǒng)安全方面,有人曾說,如果把

HIPS(Host-basedIntrusionPreventionSystem,基于主機(jī)的入侵防御系統(tǒng))用的很好,就可以告別殺毒軟件了。其實(shí),在Windows中,如果能將組策略中的“軟件限制策略”使用的很好,再結(jié)合NTFS權(quán)限和注冊表權(quán)限限制,依然可以很淡定的告別殺毒軟件。另一方面,由于組策略是原生于系統(tǒng)之上的,可能在底層與操作系統(tǒng)無縫結(jié)合,于是不會(huì)產(chǎn)生各種兼容性問題或者產(chǎn)生

CPU占用過高、內(nèi)存消耗太大等問題。從這一點(diǎn)來看,組策略中的“軟件限制策略”才算是最好的系統(tǒng)管理利器。7.2.1部署軟件限制策略

軟件限制策略的功能描述:軟件限制策略,目的是通過標(biāo)識(shí)或指定應(yīng)用程序,實(shí)現(xiàn)控制應(yīng)用程序運(yùn)行的功能,使得計(jì)算機(jī)環(huán)境免受不可信任的代碼的侵?jǐn)_。通過制定散列規(guī)則、證書規(guī)則、路徑規(guī)則和網(wǎng)絡(luò)區(qū)域規(guī)則,則可使得程序可以在策略中得到標(biāo)識(shí),其中,路徑規(guī)則在配置和應(yīng)用中顯得更加靈活。在默認(rèn)情況下,軟件可以運(yùn)行在“不受限”與“不允許”這兩個(gè)級別上。建議將軟件限制策略應(yīng)用于下列文件:除

DLL以外的所有軟件文件。

將軟件限制策略應(yīng)用于下列用戶:除本地管理員以外的所有用戶。7.2.2啟用限制策略

在默認(rèn)情況下,組策略中的“軟件限制策略”是處在關(guān)閉狀態(tài)的。通過以下步驟我們來啟用它:●打開組策略編輯器:gpedit.msc●將樹目錄定位至:計(jì)算機(jī)配置

->Windows設(shè)置

->安全設(shè)置

->軟件限制策略●在“軟件限制策略”上點(diǎn)擊右鍵,點(diǎn)選“創(chuàng)建軟件限制策略”創(chuàng)建成功之后,組策略編輯窗口中會(huì)顯示相關(guān)配置條目。7.2.3設(shè)置安全級別

在默認(rèn)情況下,系統(tǒng)默認(rèn)為我們提供了三個(gè)安全級別:“不允許”、“基本用戶”以及“不受限”。不允許:不允許軟件運(yùn)行。受限:無論用戶的訪問權(quán)如何,軟件都無法訪問某些資源,如加密密鑰和憑據(jù)。比基本用戶限制更多,但也享有“跳過遍歷檢查”的特權(quán)。不信任:允許程序訪問只對眾所周知的組授權(quán)的資源,不允許訪問管理員特權(quán)和個(gè)人授予的權(quán)利。不允許對系統(tǒng)資源、用戶資源進(jìn)行訪問,直接的結(jié)果就是程序?qū)o法運(yùn)行。

7.3配置軟件限制策略

使用軟件限制策略,通過標(biāo)識(shí)并指定允許哪些應(yīng)用程序運(yùn)行,可以保護(hù)您的計(jì)算機(jī)環(huán)境免受不可信任的代碼的侵?jǐn)_。通過散列規(guī)則、證書規(guī)則、路徑規(guī)則和Internet區(qū)域規(guī)則,應(yīng)用程序可以在策略中得到標(biāo)識(shí)。默認(rèn)情況下,軟件可以運(yùn)行在兩個(gè)級別上:“不受限制的”與“不允許的”。目前主要用到的是路徑規(guī)則和散列規(guī)則,而路徑規(guī)則則是這些規(guī)則中使用最為靈活的。7.3.1基本軟件限制策略

下列表中的文件類型包括:ADEADPBASBATCHMCMDCOMCPLCRTEXEHLPHTAINFINSISPLNKMDBMDEMSCMSIMSPMSTOCXPCDPIFREGSCRSHSURLVBWSC,所以對于正常的非可執(zhí)行的文件,例如TXTJPGGIF這些是不受影響的,如果你認(rèn)為還有哪些擴(kuò)展的文件有威脅,也可以將其擴(kuò)展加入這里,或者你認(rèn)為哪些擴(kuò)展無威脅,也可以將其刪除。7.3.2哈希規(guī)則安全策略

散列是唯一標(biāo)識(shí)程序或文件的一系列定長字節(jié)。散列按散列算法算出來。軟件限制策略可以用

SHA-1(安全散列算法)和

MD5散列算法根據(jù)文件的散列對其進(jìn)行標(biāo)識(shí)。重命名的文件或移動(dòng)到其他文件夾的文件將產(chǎn)生同樣的散列。例如,可以創(chuàng)建散列規(guī)則并將安全級別設(shè)為“不允許的”以防止用戶運(yùn)行某些文件。文件可以被重命名或移到其他位置并且仍然產(chǎn)生相同的散列。但是,對文件的任何篡改都將更改其散列值并允許其繞過限制。軟件限制策略將只識(shí)別那些已用軟件限制策略計(jì)算過的散列。1.單擊開始,單擊運(yùn)行,鍵入

mmc,然后單擊確定。2.打開軟件限制策略。3.在控制臺(tái)樹或詳細(xì)信息窗格中,右鍵單擊其他規(guī)則,然后單擊新建哈希規(guī)則。4.單擊瀏覽找到文件,或者將預(yù)先計(jì)算好的哈希值粘貼到文件哈希框中。5.在安全級別框中,單擊不允許或無限制。6.在描述框中,鍵入對此規(guī)則的說明,然后單擊確定。

7.3.3證書規(guī)則安全策略

軟件限制策略可以通過其簽名證書來標(biāo)識(shí)文件。證書規(guī)則不能應(yīng)用到帶有

.exe或

.dll擴(kuò)展名的文件。它們可以應(yīng)用到腳本和

Windows安裝程序包??梢詣?chuàng)建標(biāo)識(shí)軟件的證書,然后根據(jù)安全級別的設(shè)置,決定是否允許軟件運(yùn)行。1.單擊開始,單擊運(yùn)行,鍵入

mmc,然后單擊確定。2.打開軟件限制策略。3.在控制臺(tái)樹或詳細(xì)信息窗格中,右鍵單擊其他規(guī)則,然后單擊新建證書規(guī)則。4.單擊瀏覽,然后選擇證書。5.選擇安全級別。6.在描述框中,鍵入對此規(guī)則的說明,然后單擊確定。默認(rèn)情況下不啟用證書規(guī)則。要啟用證書規(guī)則:1.單擊開始,單擊運(yùn)行,鍵入regedit,然后單擊確定。2.找到并單擊以下注冊表項(xiàng):HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers3.在詳細(xì)信息窗格中,雙擊

AuthenticodeEnabled,然后將值數(shù)據(jù)從

0更改為

1。證書規(guī)則只影響指派的文件類型中列出的那些文件類型。存在一個(gè)由所有規(guī)則共享的指派文件類型的列表。要使軟件限制策略生效,用戶必須從他們的計(jì)算機(jī)上注銷然后再次登錄以更新策略設(shè)置。當(dāng)應(yīng)用于策略設(shè)置的規(guī)則不止一個(gè)時(shí),存在處理沖突的規(guī)則優(yōu)先權(quán)。7.3.4路徑規(guī)則安全策略

路徑規(guī)則通過程序的文件路徑對其進(jìn)行標(biāo)識(shí)。由于此規(guī)則按路徑指定,所以程序發(fā)生移動(dòng)后路徑規(guī)則將失效。路徑規(guī)則中可以使用諸如

%programfiles%或

%systemroot%之類環(huán)境變量。路徑規(guī)則也支持通配符,所支持的通配符為*7.3.5網(wǎng)絡(luò)區(qū)域規(guī)則安全策略

這種規(guī)則可以讓我們針對位于不同IE區(qū)域的.msi格式的軟件安裝文件的運(yùn)行進(jìn)行限制。要?jiǎng)?chuàng)建區(qū)域規(guī)則,請?jiān)谡堅(jiān)凇捌渌?guī)則”節(jié)點(diǎn)上單擊鼠標(biāo)右鍵,選擇“新建網(wǎng)絡(luò)區(qū)域規(guī)則”,隨后可以看到如圖7-10所示的對話框。首先,我們可以從“網(wǎng)絡(luò)區(qū)域”下拉菜單中選擇不同的網(wǎng)絡(luò)區(qū)域,然后可以從“安全級別”下拉菜單選擇希望進(jìn)行的設(shè)置。7.3.6軟件限制策略使用建議

一般來說,上述四類規(guī)則按照優(yōu)先級的高低順序排列,依次是:哈希規(guī)則、證書規(guī)則、路徑規(guī)則、網(wǎng)絡(luò)區(qū)域規(guī)則,高優(yōu)先級規(guī)則的設(shè)置會(huì)覆蓋低優(yōu)先級規(guī)則的設(shè)置。同時(shí),對于同一種規(guī)則,“禁止”要優(yōu)先于“允許”,例如對某個(gè)軟件,我們無意中使用某種規(guī)則(例如哈希規(guī)則)同時(shí)創(chuàng)建了禁止運(yùn)行和允許運(yùn)行這兩條規(guī)則,那么最終的結(jié)果是系統(tǒng)禁止該程序運(yùn)行。實(shí)訓(xùn):軟件限制安全配置實(shí)訓(xùn)

實(shí)訓(xùn)題目1:啟用軟件限制策略實(shí)訓(xùn)目的:理解什么是軟件限制策略,啟用隱藏的安全級別設(shè)置.實(shí)訓(xùn)內(nèi)容:1、啟用軟件限制策略2、通過修改注冊表實(shí)現(xiàn)將隱藏的安全級別顯示出來,并進(jìn)行相應(yīng)的設(shè)置,以增加系統(tǒng)的安全性。實(shí)訓(xùn)過程:參照實(shí)訓(xùn)內(nèi)容執(zhí)行。實(shí)訓(xùn)總結(jié):總

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論